permify google zanzibar 类似的开源授权服务实现
摘要:permify google zanzibar 类似的开源授权服务实现,openfga 也是一个类似的开源实现 参考架构 从下图可以看出permify主要包含了四个组件,Permission Server,Relationship Server,Schema Server,Watch Server
阅读全文
posted @ 2023-12-21 12:56
随笔分类 - 安全学习
projectdiscovery 提供的一些安全工具
摘要:projectdiscovery 开源组织提供了不少安全扫描的工具,都是很方便的(基于golang开发,使用方便)以下资料是一些简单的链接,可以参考学习 参考资料 https://github.com/projectdiscovery/nucleihttps://github.com/project
阅读全文
posted @ 2023-11-13 10:44
nuclei 快速&可自定义的基于DSL的漏洞扫描工具
摘要:nuclei 是基于golang 开发的,可以使用基于yaml 定义的dsl ,支持扫描不少协议(tcp,dns,http,ssl,file,whois,websocket,headless,以及code)同时nuclei也提供了不少模版可以方便快速使用 说明 nuclei 使用简单,主要包含两步,
阅读全文
posted @ 2023-11-13 10:23
cerbos 开源语言无关的授权解决方案
摘要:cerbos 实现了与casbin 类似的功能,但是casbin 需要自己基于adapter 实现数据存储的处理,cerbos 核心主要是配置策略,然后基于传递的数据进行check 参考架构 业务使用 说明 策略定义上与casbin 以及aws iam 的一些玩法比较类似,但是cerbos 提供了g
阅读全文
posted @ 2023-10-12 16:11
tink google 加密安全实践的框架
摘要:tink 是google 多年加密实践的框架,提供了安全的加密处理方法,可以简化不少我们的加密处理 参考使用 public static void main(String[] args) throws GeneralSecurityException, IOException { AeadConfi
阅读全文
posted @ 2023-06-03 10:33
LD_PRELOAD 参考使用
摘要:以下是一个简单的试用,主要是学习下 参考示例 一个进行用户输入确认的,通过LD_PRELOAD 实现一个拦截 默认代码 #include <stdio.h> #include <stdlib.h> #include <string.h> int main(){ char inputpassword[
阅读全文
posted @ 2023-05-05 09:15
sbom +dependencytrack 进行软件组件安全性分析
摘要:随着安全越来越重要,日常中我们对于自己开发的软件进行安全扫描同时作为一个常规化的任务是比较重要的,对于依赖组件基于sbom+ dependencytrack 是一个很不错的选择,而且成本比较低,管理上比较强大,我们需要做的就是基于ci 工具,或者通过cli 生成sbom,然后基于dependency
阅读全文
posted @ 2023-03-14 19:58
dnSpy 强大的dotnet 调试以及反编译编辑器
摘要:dnSpy 强大的dotnet 调试以及反编译编辑器 支持的功能 调试.net 以及unity 应用 编辑.net 以及unity 应用 轻量级以及暗黑模式 反编译支持的能力 所有的元数据都可以编译 编辑方法以及类支持自动提示(真的很方便) 其他功能也是比较强大的 说明 dnSpy 是一个很不错的d
阅读全文
posted @ 2023-02-08 19:37
smallstep certificates 开源ca 管理工具
摘要:smallstep certificates 开源ca 管理工具 包含的特性 快速初始化内部pki 安全的处理证书 边界的自己重新申请 强大的集成能力,包含了cli 工具,以及api,同时可以很好的集成到ci/cd 中 说明 hashicorp 的vault 是一个类似的pki 管理工具,同时cad
阅读全文
posted @ 2023-01-15 10:12
osv-scanner google 开源漏洞扫描工具
摘要:osv-scanner 是google 基于golang 编写的开源漏洞扫描工具,支持基于osv 数据库的扫描,生态比较好 支持的扫描模式 lockfiles sboms git 项目 说明 osv-scanner 支持的扫描语言还是不少的,而且输出格式也比较友好,比如json 格式,我们可以方便的
阅读全文
posted @ 2023-01-01 20:15
gitlab 集成的一些SAST安全扫描工具
摘要:企业内部使用gitlab 作为源代码管理的越来越多了,同时目前gitlab 不少企业特性也开源的社区免费版了,以下是支持的SAST 清单可以参考 参考清单 Language (package managers) / frameworkScan toolIntroduced in GitLab Ver
阅读全文
posted @ 2022-12-28 20:36
一些不错的开源内网穿透工具
摘要:整理一些可以支持内网穿透的工具,方便日常使用 说明 工具仅供参考学习使用 参考资料 https://github.com/ffay/lanproxyhttps://github.com/ginuerzh/gosthttps://github.com/fatedier/frphttps://githu
阅读全文
posted @ 2022-11-29 12:10
jdwp+rinetd 进行java 容器应用的远程调试
摘要:实际上就是一个玩法,实际上因为jdwp 是基于tcp 协议的,我们可以使用任何合适的tcp lb 工具解决(iptables 也是可以的)只是rinetd 使用起来还是比较简单的,同时包含了一些简单的访问控制还是不错的 jdwp 使用玩法 集成参考图 环境&测试 一个spring boot 应用,启
阅读全文
posted @ 2022-11-26 20:26
rinetd tcp/udp 端口重定向服务
摘要:rinetd 支持tcp 以及udp 协议的端口重定向,功能还是比较有用的,比如进行一些流量转发,配置上也是比较方便的,同时支持 一些简单的访问控制处理 构建 git clone https://github.com/samhocevar/rinetd.git cd rinetd ./bootstr
阅读全文
posted @ 2022-11-26 20:14
ldap 认证密码为空问题
摘要:ldap 协议使用使用simple 协议同时没有包含密码的情况就会存在自动转换为匿名认证,但是如果同时ad 开启了需要null bind 就会造成木有输入密码也可以认证成功的问题,机制上是协议栈的设计,但是对于如果ad 系统开启了此选项的问题就比较突出了,就会有安全隐患了,具体可以参考以下内容 参考
阅读全文
posted @ 2022-11-17 13:15
openmetadata 访问控制的一些调整
摘要:从整体上机制是没有变的,支持官方估计是为了简单,去掉了easy-rules 直接使用了spring expression 进行的执行处理rule 上自己实现了,从功能上还是比较简单的,而且也比较灵活,毕竟openmetadata 策略执行上也用不上太多关于easy-rules 的能力新的设计还是值得
阅读全文
posted @ 2022-10-05 18:01
graylog grn介绍
摘要:grn 是graylog 的资源名称,属于一种urn,从功能上类似aws 的 arn 主要用来进行权限以及资源分配管理 参考格式 grn:<cluster>:<tenant>:<scope>:<type>:<entity> graylog 解析处理 核心是slit,然后拆分处理 static GRN
阅读全文
posted @ 2022-10-01 08:18
基于wireshark 分析waf 响应处理慢的问题
摘要:主要是记录下当时对于出现问题的一个解决思路 问题 因为安全需要,一部分业务需要集成到waf 中,原有业务包含了一个nginx 做为流量入口,在加入waf 之后同时修改本地host 发现从waf 的请求是时快时慢而且大部分时间都是很慢的,但是通过nginx 的一直很快(本来就是一直没有问题) 业务参考
阅读全文
posted @ 2022-09-11 10:48
java password hash 几个安全工具包
摘要:password 安全存储是一个比较重要的东西,以下是一个可选的工具包,值得再项目中使用,提升系统的安全性 几个参考工具包 password4j jhash wg/scrypt 参考资料 https://github.com/Password4j/password4jhttps://github.c
阅读全文
posted @ 2022-09-04 12:30
Why No Password Is Better than One Password 文章学习
摘要:Why No Password Is Better than One Password 是由curity 团队写的一篇文章,说明了No Password的一种实践详细的参考链接,以下是一些整理 什么是无密码 界面中不需要输入任何密码,key 可选的模式 比如早期的sms,邮件,实际上解决方法很多 使
阅读全文
posted @ 2022-09-04 11:50
